中国银监会办公厅关于印发《银行业金融机构信息系统安全保障问责方案》的通知
(银监办发〔2008〕142号 二○○八年七月七日)
各银监局,各国有商业银行、股份制商业银行,邮政储蓄银行,各省级农村信用联社:
为督促银行业金融机构建立有效的信息系统安全保障机制,落实信息系统安全保障责任制度,确保银行业金融机构信息系统在北京奥运会期间的安全、持续、稳定运行,现将《银行业金融机构信息系统安全保障问责方案》印发给你们,请认真执行。请各银监局将本通知转发至辖内银行业金融机构,并要求法人机构签署信息系统安全保障承诺书,指导、督促银行业金融机构加强信息安全管理,落实信息系统安全保障责任。
银行业金融机构信息系统安全保障问责方案
为建立有效的银行业金融机构信息系统安全保障体系,落实信息系统安全保障责任,特制定本方案。
一、总体原则
(一)明确责任。银行业金融机构要建立信息安全治理架构,明确董事会、高管层对信息系统安全管理的职责权限,建立并落实信息安全管理责任制。
(二)主动预防。银行业金融机构要建立信息安全突发事件风险防范体系,建立有效的信息安全风险评估、风险预警机制,对可能导致突发事件的风险进行有效识别、分析和控制,并实施对风险指标的动态、持续监测。
(三)快速响应。银行业金融机构要建立统一指挥、反应灵敏、功能齐全、协调有序、运转高效的信息安全应急管理机制,确保突发事件发生时响应及时、联系通畅、操作准确、处理高效。
(四)持续改进。银行业金融机构要定期评价信息安全管理工作,定期对各级信息安全责任人进行考核,持续改进信息安全保障制度及方案。
二、问责机制
(一)各银行业金融机构法定代表人为本机构信息系统安全保障的第一责任人,按照“谁主管谁负责、谁运行谁负责”的原则,层层落实信息安全责任制。
(二)各银行业金融机构要将信息系统安全保障责任分解细化,逐项落实到具体部门、具体责任人,逐级签订信息系统安全保障责任书,强化信息安全管理执行力。
